Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Организации, которые не успели адаптироваться к новым реалиям, оказались в аутсайдерах.
При этом вопросы обеспечения безопасности стали еще более острыми. Тем более что в кризис они отходят на второй план, а злоумышленники прекрасно понимают, что вынужденные временные решения по удаленному доступу, внедренные без должного внимания к организации их защиты, для многих компаний могут остаться постоянными, и это их слабое место.
Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. И так как критерии выбора у каждого предприятия свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего инструмента мы предоставляем подробное сравнение популярных в корпоративной среде продуктов по удаленному доступу (Таблица 1).
Таблица 1
| Критерий | Cisco Any Connect | Palo Alto GlobalProtect | FortiNet FortiClient | Check Point Endpoint Security | Континент АПКШ | VipNet | S-terra |
| Полноценный IPSEC VPN клиент и используемая технология VPN | Windows MAC Linux | Windows MAC Linux | Windows MAC Linux | Windows MAC Linux | Windows Linux | Windows MAC Linux | Windows Linux |
| Русскоязычный интерфейс ПО пользователя | да | нет | нет | да | да | да | да |
| Доступны аппаратная, виртуальная реализации криптошлюза | да | да | да | да | нет, только аппаратная | да | да |
| Проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса и т. д.) | да (с доп. средствами вендора) | да | да | да | нет | нет | нет |
| Поддержка функции Split Tunnel – вариант маршрутизации не всего трафика в туннель | да | да | да | да | да | да | да |
| Поддержка L2TP (для подключения нативным клиентом ОС Windows, MAC, Android, iOS и только функции VPN) | да | нет | да | да | нет | нет | нет |
| Поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей) | да | да | да | да | доступно через отдельные решения ГОСТ TLS | ||
| Поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиента | да | нет (для этого используется отдельное решение вендора (Traps/Cortex) | да | да | да | нет | нет |
| Web application type based policy внутри VPN туннеля (исключить Youtube и т. д.) или Per App VPN | да | да | да | да | нет | нет | нет |
| Встроенные в клиент дополнительные функции защиты: | нет (частично доступны с интеграцией с Cisco AMP) | нет (для этого используется отдельное решение вендора (Traps/Cortex) | да | да | нет | ограниченно | нет |
| – антивирусная защита | доступно с интеграцией с Cisco AMP | нет | да | да | нет | нет | нет |
| – шифрование данных при хранении на жестком диске | нет | нет | нет | да | нет | да | нет |
| – контроль и защита внешних устройств | нет | нет | да | да | нет | да | нет |
| – криптографически защищенная почта | нет | нет | нет | да (мобильный вариант песочницы Capsule Workspace) | нет | да | нет |
| Обратный RDP до клиента (для техподдержки) | да | да | да | да | да | да | да |
| Наличие у производителя клиента для мобильных устройств (Android, iOS) | да | да | да | да (Capsule) | да | да | нет |
| Многофакторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius и т. д.) | да | да | да | да | да (рутокен, eTocken, Jakarta, Esmart) | да (рутокен, eTocken, Jakarta, Esmart) | да (рутокен, eTocken, Jakarta) |
| Поддержка одноразовых паролей на уровне криптографического шлюза | нет | нет | нет | да (one-time pass-код генератор) | нет | нет | нет |
| SSL портал для доступа к Web-приложениям компании | да | да | да | да | есть вариант TLS-шлюзов | ||
| ГОСТ VPN | нет | нет | да (с КритоПро с ограничениями) | да (с КритоПро с ограничениями) | да | да | да |
| ГОСТ SSL VPN | нет | нет | нет | нет | да | да | да |
| Сертификация ФСТЭК | нет | нет | нет | да | да | да | да |
| Сертификация ФСБ | нет | нет | нет | нет | да | да | да |
| Интеграция с агентами песочницы производителя | да (Cisco AMP + Threadgrid) | да (Traps + Wildfire) | да | да (CheckPoint Sandblast) | нет | нет | нет |
| Кластеризация шлюза Active-Standby | да | да | да | да | да | да | да |
| Кластеризация шлюза Active-Active | да | да | да | да | нет | нет | нет |
| Интеграция с облачными платформами (Amazon AWS, MS Azure и др.) | да (Cisco CSR 1000) | да | да | да | нет | с ограничениями | нет |
| Функция роуминга для мобильного VPN – переподключение при разрыве соединения | да | да | да | да | нет | нет | нет |
В целом все решения сейчас реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по основным критериям имеют схожий функционал. И выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических деталей, факторов удобства администрирования, наличия персонала, технической поддержки и т. д.
Автор: Анна Михайлова, системный архитектор группы компаний Angara.
Поделиться ссылкой
